稽核在商业银行中的作用
[内容摘要] 作为公司治理架构中不可分割的一部分,内部审计拥有极其重要而又特殊的地位,并在公司治理中发挥着越来越重要的作用。本文分析了我国国有商业银行内部审计现状与存在的不足,探讨了内部审计在商业银行公司治理中的角色定位,指出了内部审计在商业银行公司治理中充分发挥作用的途径。
[关键词] 内部审计 公司治理 作用
随着我国国有商业银行完成股份制改造和成功上市,公司治理得到不断改善,但由于风险管理压力不断加大,内部审计在公司治理和风险防控中作用日益凸显,大力提高内部审计层次和水平已成为新形势下商业银行公司治理的必然要求。
一、内部审计与商业银行公司治理的关系
现代企业管理理论认为,企业是一系列契约的集合,其中最重要的是财产所有者(委托人)与管理者经营(代理人)之间的委托代理关系。在财产所有权与管理经营权分离的情况下,委托人即所有者将资产的管理经营权授与管理者即代理人,企业的控制权转移到代理人手中,从而形成委托代理关系,它是公司治理和内部审计***同的理论基础。构建有效公司治理结构的关键是在商业银行内部能够形成一个相互制衡的组织框架,股东大会、董事会、监事会、高级管理层等分工协作、相互制衡,以解决国有商业银行所有者缺位及“内部人控制”的问题。我国国内商业银行公司治理能否真正达到西方先进商业银行公司治理水平,既“形似”又“神似”,还有大量的工作要做。
在商业银行公司治理中,内部审计在居于十分特殊的地位,作为董事会及其审计委员会和最高层管理当局实施控制的手段,内部审计在企业管理尤其是风险管理、内部控制以及公司治理有关方面的地位与作用日趋突出,事实上,有效的内部审计对保证有效的公司治理是至关重要的。内部审计的发展离不开公司治理的推动,公司治理的优化也离不开有效的内部审计作为保障,内部审计作为商业银行公司治理结构的有机组成部分,应置于公司治理的框架之内,并促进内部审计与公司治理的良性互动。
首先,因所有权和经营权相分离,商业银行所有者亟需建立一套能对组织经营管理活动实施有效监督的机制,并能对揭示组织控制缺陷和风险管理给出客观的保证和建议,以便及时了解商业银行经营状况和商业银行管理层履行职责情况,为决策提供真实、客观依据。内部审计作为受托者,可以满足所有者的愿望。如:西方商业银行普遍设立内部审计并将其纳入作为董事会及其下的审计委员会管理,成为商业银行实施监督和控制的手段。其次,由于借用和照搬西方商业银行的做法,可能出现“水土不服”,国内商业银行公司治理存在这样那样的缺陷,有必要不断补充和完善。内部审计本身具备监督评价的职能,可以为这些缺陷打上“补丁”而开出良方。其三,随着商业银行风险管理压力逐渐加大,内部审计在商业银行今后发展过程中的作用日益凸现。内部审计位于商业银行内部控制第三道防线的关键部位,在强化内部控制、促进风险管理上扮演着越来越重要的角色。由此可见,内部审计与公司治理是密不可分、相互依存的关系。
为使商业银行内部审计发挥应有职能,必须为其建立一定的组织条件。一是独立性原则。“有位才有为”,独立性是内部审计的灵魂,内部审计活动只有具备应有的独立性,才能作出公正的、不偏不倚的鉴定和评价。内部审计的独立性,必须取得董事会和高级管理层的支持,并以文件形式明确,商业银行内部审计设置应实行系统独立、业务独立、人员独立,使之具有超脱性。为保证其地位的独立性,应使首席审计执行官与审计委员会主席的沟通畅通无阻,要建立规范的汇报路径,内部审计对审计委员会、董事会或相关的治理机构报告工作,向高级管理层负责人报告行政工作,内审机构在业务方面要向审计委员会负责并报告业绩。二是权威性原则。“有权才能为”,商业银行应给予内部审计相应的地位,需要在公司治理结构中合理安排内部审计,这种地位应体现在综合性、高层次上,从体制上保证内部审计工作内容的全面展开。将内部审计纳入商业银行董事会其下的审计委员会管理是一种合理的制度安排,重要的是审计委员会的构成和必须是务实有效的。三是内部审计应独立地拥有实质上的监督控制权和法律基础。国家应建立支持内部审计活动的法律法规,商业银行董事会要对内部审计授权,使内部审计有与之职能发挥相适应的权限。同时,内部审计一定不能成为当事人,直接从事业务经营和操作,即不能当“运动员”,只能作“裁判”,对违规行为举旗吹哨。
二、现状分析
从上世纪八十年代中期设立内部审计部门起,我国国有商业银行内部审计一直处于不断改革和发展的历史进程。近几年来,几大国有商业银行先后完成股份制改造和成功上市,作为治理结构和风险管理的重要组成部分, 商业银行积极推进审计转型,先后对内部审计的体制机制进行了重要改革,内部审计职能、目标和定位都发生了重大转变。主要体现在:
一是组建审计委员会并建立了董事会领导下的相对独立和垂直管理的内部审计体系,内部审计对董事会负责,独立性得到提高。如农业银行跨区域设立了10个审计分局,实行垂直管理,这种垂直管理体系有利于提高内部审计体系的独立性和权威性。
二是出台了《内部审计章程》等一系列管理制度,促进内部审计系统化、规范化水平的提高。如农行新出台了《内部审计章程》、《审计业务管理办法》、《审计项目管理办法》、《经济责任审计手册》等审计规章,明确了审计职责、权限、程序等方面内容,上述管理制度有利于进一步规范审计行为。
三是明晰了内部审计的报告路线,审计结果能直达董事会和管理层。如农行明确了内部审计工作实行双线报告制,即第一报告路线是董事会及其审计委员会,第二报告路线是监事会和高级管理层,报告路线明晰。
四是审计重心转移,确定了内部审计的目标定位,要求站在董事会的角度,关注重点,发挥作用,创造价值。如农行《内部审计章程》确定的审计目标是:确保国家法律法规、监管机构规章和本行各项制度的贯彻执行;对本行风险管理、内部控制和公司治理提出意见和建议,促使风险在可接受的水平;促进本行经营管理、经营绩效和业务营运不断改善,促进全行稳健发展和董事会战略目标的实现,增加价值。这种目标定位符合内部审计发展方向和商业银行现实需要。
完成股份制改造后,我国商业银行对内部审计的体制机制进行了改革,由于改革时间不长,难免存在一些缺陷和薄弱环节,有待进一步改进。
(一)系统化、规范化程度不够,体制机制有待进一步完善。一是制度建设不足,体制机制尚不够完善。我国商业银行公司治理尚处于初期发展阶段,内部审计在公司治理结构中发挥作用还缺乏相应的法律基础,审计规章制度建设也不够健全;审计委员会体制机制建设有待完善,作用有待进一步发挥;内部审计运行机制,以及审计派驻机构的管理职责、模式、考核机制等有待进一步完善。二是关注的业务和领域不够,关注风险管理的深度不够。合规性审计多,管理审计、绩效审计运用少,对商业银行及其分支机构公司治理与程序关注较少;对资产、负债等传统业务审计多,对内部控制过程的适当性和有效性进行及时评价较少;事后检查多,对经营行风险监测分析较少,未能对经营风险早识别、早预警、早量化,对规章制度合理性、新产品新业务设计的完善性进行风险评估少。三是审计标准化程度不高,审计质量控制尚不完善。审计规范、审计标准尚未建立或正在建立,内部审计作业标准化程度有待提高。
(二)非现场审计手段运用依然不够,审计项目依然主要依赖现场审计方式来完成。与国际先进水平相比,我国商业银行非现场审计的信息化、网络化和专业技术化程度依然较低。当前,商业银行各项业务正处在快速增长期,新业务品种不断推出、存贷款业务快速增长、中间业务突破性发展,带来内部审计领域扩展、审计需求大增。面对堆积如山的凭证、报表、档案,在海量的业务数据中发现问题、寻找证据,内部审计仍沿袭以往的以手工操作为主的审计手段和过分依赖于现场审计的审计模式使得审计人员在履行职能时多少显得有些力不从心。
(三)审计创新不足,查错纠弊式的审计理念依然占统治地位。一方面内部审计在内部控制和风险防范作用中日益重要,董事会对内部审计的要求增加。如农行董事会对内部审计明确提出“要发挥好审计条线的监督评价职能,坚持风险审计、管理审计、责任审计和绩效审计相结合,及时揭示重大风险点和经营管理中存在的问题,为董事会战略有效执行和全行业务的健康运营提供强有力的保障”。另一方面审计创新不足,查错纠弊式的审计理念依然占统治地位。主要表现为审计视角依然束缚在会计视角,偏重查账,局限于档案、凭证、报表等会计记录;审计重心仍停留在事后检查阶段,专注于检查结果;习惯采用传统审计方式、站在微观上、依赖个人经验判断进行审计活动,对审计方法、经验教训总结不多,探索审计规律、健全审计流程考虑不多,对各项业务的研究和审计方法探讨少。
(四)检查重复、资源浪费,审计检查成果***享不足。内部审计和内控合规部门职能界定不清晰,存在机构设置和职能重叠现象,同时内部审计、内控合规、部门自律监管等重复检查过多,各自为政,未能形成资源***享,导致资源浪费。
三、内部审计在我国商业银行公司治理中的角色定位
内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过采取系统化、规范化的方法,评价和改善组织的风险管理、控制和治理过程的效果,帮助组织实现其目标。内部审计在商业银行公司治理中居于十分特殊的地位,可以说,内部审计不仅仅是一个检查系统,现代商业银行的管理者更将其定位为一个控制系统。
(一)内部审计是商业银行公司治理的重要组成部分。作为董事会实施控制的手段,商业银行内部审计与董事会、高级管理层、外部审计师一起构成有效公司治理的四大基石,有效的内部审计对保证有效的公司治理是至关重要的。一方面建立合理有效的内部审计是良好公司治理结构的内在要求,健全的公司治理结构离不开内部审计评价与约束机制,有效的内部审计有利于公司治理结构的完善。商业银行公司治理存在这样那样的缺陷,有必要不断补充和完善,内部审计本身具备监督评价的职能,可以为这些缺陷打上“补丁”。另一方面商业银行公司治理是内部审计有效发挥作用的前提和基础,缺乏公司治理制度安排和支持,内部审计将很难有所作为。
(二)内部审计是一种为商业银行带来价值增值的监督系统。商业银行内部审计既可对商业银行银行各项经营活动进行事前、事中和事后的全面审查,又可对重大问题或风险隐患进行经常、连续、系统深入的分析,为商业银行提供有价值的经营管理对策,促进目标实现,还可以通过完善自身管理机制,更新审计手段等改革措施,提高审计质量,从而实现防弊、兴利和价值增值的融合。内部审计是商业银行提高经济效率效益和解决信息不对称的重要工具,是增加公司价值的重要载体。
(三)内部审计是规避风险的“防火墙”。风险管理是当前商业银行面临的重大课题,也是内部审计重点关注的领域。内部审计积极持续地支持并参与风险管理过程,评估与风险管理有关的管理薄弱环节,并通过与商业银行管理层、董事会、审计委员会讨论,揭露重大风险隐患,评价并改善风险管理,发挥揭示、抵御、改进和预防等“免疫”功能,促进商业银行完善风险管理体系,进而实现对风险的掌握、化解与驾驭,确保经营目标的实现。
(四)内部审计是是经营管理的“医生”。针对商业银行公司治理的缺陷、风险管理隐患,内部审计可以为商业银行管理当局开出治疗的良方,推荐更经济、有效的资源利用方法,提出有针对性的意见和建议。内部审计还通过对商业银行高级管理人员实施任期经济责任审计,对其履行职责情况进行评价,分析管理的薄弱环节,促进各级管理者提高经营管理水平。
(五)内部审计是实现内部控制的关键要素。评价、鉴证职能是内部审计的主要职能。通过健全性评价和符合性测试等方式,内部审计从独立客观的角度评价商业银行内部控制体系的适用性和可靠性,来确认控制系统是否薄弱或失控,进而查明问题、分析成因及后果,对商业银行控制环境、控制活动进行风险评估,把发现的漏洞、盲点、盲区和执行中的薄弱环节及时客观地反馈给董事会和高级管理层,提出完善内部控制体系有效措施,以杜绝差错和舞弊的可能性。
三、内部审计在商业银行公司治理中如何进一步发挥作用
在商业银行公司治理中,内部审计要充分发挥防护性和建设性作用,体现为董事会、最高管理层服务的理念,积极实现防弊、兴利和价值增值的融合。
(一)提升内部审计层次,以法规形式确立内部审计地位。西方国家很早就以法律形式明确了内部审计在企业中的地位,为内部审计参与公司治理并发挥作用提供了广阔的发展空间。如美国2002年通过的《萨班斯法案》,以及纽约证券交易所对上市公司的规定,均明确了内部审计以及审计委员会在企业中的地位和作用,内部审计在企业组织的重要性和影响力得到提升。我国商业银行内部审计在公司治理结构中的地位和作用还缺乏法律基础,如现有中国银监会《银行业金融机构内部审计指引》、国家审计署《关于内部审计工作的规定》和《中国内部审计具体准则》等关于内部审计的规定尚未上升到法律高度。
应充分借鉴西方国家在企业内部审计管理上成熟的先进经验,为内部审计充分发挥作用奠定法律基础。通过出台有关法律,明确内部审计以及审计委员会在我国商业银行中的地位和作用,使内部审计机构和人员得到商业银行应有的重视,使内部审计能理直气壮能参与到公司治理并帮助商业银行改进风险管理体系,促进内部控制的改善。
(二)加强内部审计建设,进一步完善公司治理结构。独立性是内部审计的灵魂,要围绕提高内部审计独立性和客观性来加强商业银行内部审计建设。
一是进一步加强审计委员会建设。审计委员会在内部审计履行职能中至关重要,其构成和绝不能徒具形式。审计委员会是公司治理机制中具有特殊性的重要组成要素,能否真正发挥决策支持和执行监督的作用,同样取决于其是否具有独立性。审计委员会应由独立董事、小股东组成,以5—7人为宜,依照议事规则对内部审计事项进行决策,独立向董事会报告工作。审计委员会应具有以下职责并具有行使这些职责的权利:拟定内部审计章程、制度和审计工作标准;拟定内部审计发展战略及审计规划,确定审计年度计划;审计人力资源管理与考核;对首席审计执行官进行考核等等。当前,改善和提高我国商业银行审计委员会建设显得十分重要。
二是进一步加强制度建设,提高内部审计系统化、规范化、标准化水平。内部审计是一门艺术、是一门独立的学科,有一套完整的方法体系,需要在一定的环境才能充分发挥作用。董事会和高管层要充分认识内部审计在公司治理中的作用,对内部审计工作予以支持。我国商业银行内部审计制度建设依然薄弱,要从提高内部审计系统化、规范化、标准化水平入手,进一步加强制度建设,当前的重点是出台和完善商业银行内部审计规范或审计手册、审计质量控制标准、审计考核和责任追究管理办法等。
三是进一步加强系统管理职能,充分利用各种检查成果。我国国有商业银行均实现了审计派驻的内部审计垂直管理方式,由于时间不长,管理尚未成型,有诸多需要完善的地方。要不断研究和改善对审计派驻机构的管理职责、机制、垂直管理的方式方法,对管辖行实行贴身监督;要建立机制、配备人员、开发系统,实行对管辖行业务经营和风险管控的常态化跟踪,及时发现和揭示风险隐患,定期形成分析报告,促进业务经营管理;要加强与内控合规、自律监管、纪检监察等部门联系,充分利用各种检查成果。
(三)突出重点,创新方法,促进审计价值增值。商业银行风险管理形势依然严峻,压力日益增加,原有的审计思维、审计方法和技术已不能适应商业银行业务发展对内部审计的需要。应坚持全面审计、突出重点的审计思路,全面引入风险审计、绩效审计、管理审计等审计方法,提升审计效率和效果。
一是培育审计战略思维,全面审计,突出重点。当前,商业银行董事会、高管层和股东迫切需要内部审计在商业银行风险管理、内部控制和提升各级高管人员管理水平等方面充分发挥作用,因此,内部审计要积极推进审计转型,审计人员要创新审计理念,改变陈旧的审计思维。内部审计要站在董事会的角度,以董事会的战略目标为核心,培育审计战略思维;要不断创新审计理念,俯视和审视全行经营管理的全过程,抓大放小,科学确定审计项目,围绕业务经营中薄弱环节和主要风险,突出重点实施审计;要持续的优化审计程序、审计流程,改进审计技术和方法,提升内部审计水平,充分发挥内部审计免疫系统功能。
二是全面开展增值型审计。商业银行董事会、高管层需要内部审计能为公司增加价值,因此,内部审计应充分重视在风险控制和创造价值方面的作用,将风险管理纳入审计范畴,以风险为导向实施审计,增强对风险的前瞻性预判,对症下药,促进全行风险管理水平。要把合规审计与管理审计、经营绩效审计结合起来,在查找问题的同时重视分析原因,在揭示问题的同时提出合理化的建议,在检查的同时开展调查研究,帮助商业银行加强管理,改善经营,提高效益,实现审计价值的增值。
三是加强审计沟通。审计沟通对内部审计发挥作用至关重要,通过与董事会、管理层、被审计单位的沟通,使审计工作得到董事会和管理层的支持,得到被审计单位的配合以及加深对审计事项的了解,为审计工作营造良好的环境;通过外部审计师的沟通,***享情报,分享审计技术与方法;通过内部的沟通,审计人员统一思想、明确审计目标、保证审计工作的质量和效率,并分享审计方法、审计技术和审计经验。现场审计时还要提高审计沟通技巧,从审计沟通中发现和印证风险。
(四)不断开发非现场审计方法和技术,全面提升非现场审计对审计项目的贡献度。非现场审计具有全面性、时效性以及成本低、效率高和规范性强等特征,要在海量的业务数据中发现问题、寻找证据,离不开计算机审计技术。全面提升非现场审计对审计项目的贡献度是内部审计的发展方向。
一是加快非现场审计软件研发和应用。要开发数据接口软件,实现非现场审计系统与各类经营管理系统的直联;要丰富完善分析模型,在商业银行内部建立审计信息化系统和操作平台,探讨审计思路,编写方法,对各项业务实施有效监控和评估;要拓宽资料来源,将经营管理计划、管理制度、业务检查报告等非数据信息纳入非现场审计的视野,为非现场审计提供翔实的数据资料。
二是建立和维护疑点库,确保非现场审计监测及常态化运行。建立监管分行业务风险分析数据库,对非现场审计过程中发现的问题线索和风险疑点,全面纳入疑点库管理。建立非现场审计监测及常态化运行机制,配置固定的审计人员,落实考核和管理机制,将审计关口前移,依托远程监控平台,以远程登录方式,定期地对被审计单位业务活动的全过程和结果进行经常性、连续性审计监督,实现对被监管单位风险的即时、动态、全面监控,定期提交被监管行经营分析和风险监测报告。
三是不断提高商业银行业务的电子化水平,为非现场审计提供相应的环境。当前,我国商业银行电子化水平不断提高,但与西方先进商业银行比尚存在一定差距。要大力提高商业银行业务的电子化水平,当前应抓紧实现会计凭证、信贷档案等的电子化,为非现场审计创造条件,最大限度地减少现场审计投入的人力和资源,节约审计成本,提高审计效率。
(五)加强审计质量控制,着力推进审计结果运用。审计质量控制是内部审计的生命线,内部审计应制定规范的工作标准,建立严密的质量控制机制。
一是完善质量控制手段,坚持审计督导和复核制度。质量控制应贯穿于审计计划、组织、实施的全过程,要建立审计质量控制制度,确定以审计质量为导向的业绩评价考核奖惩机制。审计机构负责人和项目负责人要持续坚持审计督导,及时解决审计过程中面临的难题。坚持“三级复核制”,把审计质量控制落到实处,促进提升审计质量。
二是着力推进审计结果运用,促进审计价值增值。在加强审计分析,不断提炼审计成果的的同时,还要督促被审计单位落实审计建议,建章建制,堵塞管理漏洞,充分利用审计成果,真正实现审计价值增值。应持续关注被审计单位对审计披露问题所采取的纠正措施及其有效性,建立问题整改台账,适时开展后续审计,跟踪问题整改。